L\u2019Organisation internationale de normalisation (ISO) a publi\u00e9 en 2019 les conditions de la mise en place d\u2019un syst\u00e8me de management de la protection des donn\u00e9es \u00e0 caract\u00e8re personnel sous la forme de la norme ISO 27701. Cette norme s\u2019appuie sur le syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information d\u00e9crit dans la norme ISO 27001. En 2017, la British Standards Institution (BSI) a adapt\u00e9 sa nome BS 10012 sur la base de la l\u00e9gislation RGPD qui venait d\u2019\u00eatre publi\u00e9e. Ces deux normes sont fond\u00e9es sur la conviction qu\u2019un syst\u00e8me de management peut contribuer \u00e0 un traitement correct des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n
Pour ceux qui ne connaissent pas les tenants et aboutissants d\u2019un syst\u00e8me de management, voici quelques caract\u00e9ristiques qui aideront \u00e0 comprendre le concept. Un syst\u00e8me de management est un ensemble logique et coh\u00e9rent d\u2019accords et de proc\u00e9d\u00e9s faisant en sorte qu\u2019une organisation et ses collaborateurs font ce qui est n\u00e9cessaire pour r\u00e9aliser les objectifs de l\u2019entreprise \u2013 par exemple la conformit\u00e9 au RGPD. Un tel syst\u00e8me permet d\u2019avoir un aper\u00e7u des risques et des possibilit\u00e9s d\u2019am\u00e9lioration des activit\u00e9s li\u00e9es au RGPD. Un syst\u00e8me de management assure la ma\u00eetrise des processus internes et externes gr\u00e2ce \u00e0 des activit\u00e9s de contr\u00f4le et des mesures et est garanti par la conservation et la mise \u00e0 jour d\u2019informations document\u00e9es. Autrement dit, le d\u00e9ploiement de l\u2019impl\u00e9mentation RGPD sur la base d\u2019un syst\u00e8me de management permet \u00e0 l\u2019organisation de mieux contr\u00f4ler, mesurer et faire l\u2019audit de sa conformit\u00e9.<\/p>\n
Un exemple concret permettra d\u2019y voir plus clair. Le RGPD prescrit qu\u2019un registre des activit\u00e9s de traitement doit \u00eatre tenu. Ce registre peut \u00eatre consid\u00e9r\u00e9 comme une sorte de carte g\u00e9ographique sur laquelle figurent tous les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel. Lorsqu\u2019un tel registre est \u00e9tabli dans le cadre d\u2019un syst\u00e8me de management, il faudra \u00e9galement r\u00e9fl\u00e9chir (entre autres), en plus du registre, \u00e0 la personne qui en est responsable, \u00e0 la mani\u00e8re dont l\u2019exhaustivit\u00e9 du registre doit \u00eatre contr\u00f4l\u00e9e, aux garanties qui existent pour tenir le registre \u00e0 jour, et ainsi de suite. Tous ceux qui sont impliqu\u00e9s dans le processus sont conscients des t\u00e2ches et responsabilit\u00e9s qui leur incombent dans ce cadre. Lorsque l\u2019organisation constate que des probl\u00e8mes se posent au niveau du registre, comme l\u2019absence de mention de certaines activit\u00e9s de traitement, la m\u00e9thode actuelle sera examin\u00e9e d\u2019un \u0153il critique et \u00e9ventuellement adapt\u00e9e.<\/p>\n
Un syst\u00e8me de management offre donc un cadre pour impl\u00e9menter le mieux possible toutes les obligations li\u00e9es au RGPD. Mieux encore, on peut le faire \u00e9valuer par un auditeur qui, se basant sur des crit\u00e8res issus de normes telles que la norme ISO 27701, constate que tout se passe de mani\u00e8re conforme. Cet auditeur peut m\u00eame, sous certaines conditions, d\u00e9livrer un certificat.<\/p>\n
Un tel syst\u00e8me de management n\u2019offre bien entendu aucune garantie d\u2019un point de vue juridique. Il est toujours possible qu\u2019une organisation qui a impl\u00e9ment\u00e9 un syst\u00e8me de management de qualit\u00e9 se voit encore infliger une amende en raison de non-conformit\u00e9s. Le service d\u2019inspection de l\u2019Autorit\u00e9 de protection des donn\u00e9es peut ainsi constater qu\u2019une activit\u00e9 de traitement est inscrite dans le registre, mais qu\u2019elle est disproportionn\u00e9e ou ill\u00e9gale. Supposez par exemple que votre entreprise, dans le cadre de l\u2019\u00e9pid\u00e9mie de Covid-19, fasse installer une cam\u00e9ra thermique \u00e0 l\u2019entr\u00e9e du b\u00e2timent. La cam\u00e9ra ne conserve pas d\u2019images mais proc\u00e8de seulement \u00e0 des mesures. Vous avez tenu compte, pour l\u2019installation de la cam\u00e9ra, de toutes les conditions requises pour agir conform\u00e9ment au RGPD, et avez respect\u00e9 toutes les obligations en la mati\u00e8re, comme l\u2019enregistrement dans le registre des activit\u00e9s de traitement, la r\u00e9alisation d\u2019une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es, la protection des donn\u00e9es d\u00e8s la conception, etc. Vous avez selon vous respect\u00e9 toutes les exigences l\u00e9gales.<\/p>\n
L\u2019auditeur, qui est pass\u00e9 \u00e0 l\u2019occasion d\u2019un contr\u00f4le annuel, n\u2019a formul\u00e9 aucune remarque et a not\u00e9 votre impl\u00e9mentation comme conforme. Il a en effet jug\u00e9 que le syst\u00e8me de management fonctionne. La Chambre Contentieuse de l\u2019Autorit\u00e9 de protection des donn\u00e9es a toutefois jug\u00e9 que l\u2019installation de la cam\u00e9ra thermique n\u2019\u00e9tait pas conforme en l\u2019absence d\u2019une base l\u00e9gale correcte. Un bon syst\u00e8me de management ne garantit donc pas un traitement correct des donn\u00e9es \u00e0 caract\u00e8re personnel. Attention\u00a0: le syst\u00e8me de management g\u00e9n\u00e8re une plus-value importante pour impl\u00e9menter les principes du RGPD d\u2019une mani\u00e8re qualitative.<\/p>\n
Impl\u00e9menter et contr\u00f4ler vos obligations RGPD au moyen d\u2019un syst\u00e8me de management est donc une bonne id\u00e9e, mais ce n\u2019est pas la panac\u00e9e. Prenez garde, dans le cadre d\u2019un audit par exemple, \u00e0 ne pas seulement prendre le syst\u00e8me de management (ou ses principes) en compte. Une \u00e9valuation compl\u00e8te passe \u00e9galement les principes juridiques en revue d\u2019un point de vue expert. Une v\u00e9ritable plus-value est autrement dit un audit qui n\u2019examine pas seulement le syst\u00e8me de management. L\u2019auditeur RGPD doit donc aussi de pr\u00e9f\u00e9rence s\u2019y conna\u00eetre dans le domaine du RGPD et pas seulement dans celui des syst\u00e8mes de management.<\/p>\n","protected":false},"excerpt":{"rendered":"
L\u2019Organisation internationale de normalisation (ISO) a publi\u00e9 en 2019 les conditions de la mise en place d\u2019un syst\u00e8me de management de la protection des donn\u00e9es \u00e0 caract\u00e8re personnel sous la forme de la norme ISO 27701. Cette norme s\u2019appuie sur le syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information d\u00e9crit dans la norme ISO 27001. […]<\/p>\n","protected":false},"author":4,"featured_media":4854,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4936","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tout"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/4936","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=4936"}],"version-history":[{"count":2,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/4936\/revisions"}],"predecessor-version":[{"id":4938,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/4936\/revisions\/4938"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media\/4854"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=4936"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=4936"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=4936"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}